Benachrichtigungen
Alles löschen

[Gelöst] Enterprise CA

6 Beiträge
2 Benutzer
0 Reactions
2,558 Ansichten
ManDal
(@mandal)
Eminent Member
Beigetreten: Vor 5 Jahren
Beiträge: 37
Themenstarter  

Hallo zusammen

Ich betreibe eine zweistufige CA für unsere Internen Service, wir haben eine interen Policy die festhält wer ein Zertifikat ausstellen darf und wie vorgegangen werden muss.

 

Würde gerne erfahren wie Ihr das so handhabt oder eingeschränkt habt...

 

Grüsse

ManDal

 


   
Zitat
Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 15 Jahren
Beiträge: 512
 

Hallo ManDal,

ich gehe meist so vor, dass ich die Standardvorlagen der Enterprise CA lösche, damit Systeme und Benutzer nicht automatisch Zertifikate von der CA anfordern. Danach hängt es vom Unternehmen ab, wie Vorlagen und Berechtigungen konfiguriert werden. Ich finde es beispielsweise sinnvoll, wenn auf jedem Zertifikat eine E-Mail Adresse angegeben ist, so lassen sich Benachrichtigungen über den Ablauf von Zertifikaten verschicken. Ich hab in der Vergangenheit meistens eine AD-Gruppe je Vorlage erstellt. Mittels der Gruppe werden dann die Benutzer/Computer berechtigt, welche die Zertifikate anfordern können. 

Gruß,

Frank


   
AntwortZitat

ManDal
(@mandal)
Eminent Member
Beigetreten: Vor 5 Jahren
Beiträge: 37
Themenstarter  

Hallo Frank

Danke für dein Hinweis, das mit den AD Gruppen finde ich eine guter Ansatz...

Wen ich die Domain Admins, Domain Computers und Enterprise Admins Gruppen auf dem Template entferne und nur noch eine spezifische Gruppe hinzufügen, bekomme ich dann Probleme oder würde das funktionieren?

Oder besser gesagt welche AD Gruppen müssen auf dem Template vorhanden sein damit ich keine Probleme bekomme?

 

Grüsse

ManDal

 


   
AntwortZitat
ManDal
(@mandal)
Eminent Member
Beigetreten: Vor 5 Jahren
Beiträge: 37
Themenstarter  

Hallo Frank

Habe das jetzt Test halber ausprobiert und eine Kopie des Web Templates erstellt, wen ich dort jetzt alle AD Gruppen rauslösche und nur die neue erstellte Gruppe hinzufüge mit meinem Admin Benutzer drin kann ich das Web Zertifikat über die IIS Seite nicht ausstellen, wen ich den Admin Benutzer aber direkt dem Template zuteile also ohne AD Gruppe funktioniert es.

Mache ich da irgend etwas falsch?

 

Grüsse

ManDal


   
AntwortZitat

Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 15 Jahren
Beiträge: 512
 

Hi,

hast du dran gedacht, dass du dich dann einmal ab- und anmelden musst, damit die neuen Gruppenmitgliedschaften greifen? Je nachdem wer das Zertifikat anfordert, müssen ggf. auch die Computerkonten zur Gruppe hinzugefügt werden.

Gruß,

Frank


   
AntwortZitat
ManDal
(@mandal)
Eminent Member
Beigetreten: Vor 5 Jahren
Beiträge: 37
Themenstarter  

Hallo Frank

Danke für den Hinweis nach dem ab und wieder Anmelden ist das Web Zerti nun auch ersichtlich... 

 

Grüsse

ManDal


   
AntwortZitat

Teilen: